روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛  گالری اسمارت‌فون شما ممکن است حاوی عکس‌ها و اسکرین‌شات‌هایی از اطلاعات مهمی باشد که آنجای برای ایمنی یا راحتی نگه می‌دارید؛ مانند داکیومنت‌ها، قراردادهای بانکی یا عبارات بازیابی برای بازیابی والت‌های رمزارز. همه این داده‌ها را می‌شود با یک اپ مخرب مانند سارق SparkCat که کشفش کرده‌ایم سرقت کرد. این بدافزار در حال حاضر طوری تنظیم شده که داده‌های کریپتو والت را سرقت کند اما می‌تواند براحتی برای سرقت هر اطلاعات ارزشمند دیگری تغییر کاربری بدهد. بدترین بخش این است که بدافزار مذکور به فروشگاه‌های رسمی اپ با تقریباً 250 هزار دانلود اپ‌های آلوده (تنها از خود گوگل‌پلی) راه پیدا کرده است. گرچه اپ‌های مخرب پیشتر در گوگل‌پلی پیدا شده‌اند اما این اولین بار است تروجان سارق در اپ استور شناسایی می‌شود. اما این تهدید چطور کار می‌کند و برای محافظت از خود باید چه اقداماتی انجام داد؟

افزونه‌های مخرب در اپ‌های قانونی

اپ‌هایی که حاوی اجزای مخرب  SparkCat هستند به دو دسته تقسیم می‌شوند. برخی مانند اپ‌های مسنجر متعدد و مشابه که ادعا دارند عملکرد هوش مصنوعی را دارند واضحاً به عنوان دام طراحی شده‌اند. برخی دیگر اپ‌های قانونی هستند: سرویس‌های تحویل غذا، اخبار خوان‌ها و ابزارهای کریپتووالت. هنوز نمی‌دانیم چطور کارکرد تروجان وارد این اپ‌ها شده. شاید این حاصل حمله زنجیره تأمین باشد؛ جایی که جزء طرف‌سوم بکاررفته در اپ آلوده شده است. به طور جایگزین، توسعه‌دهندگان شاید عامدانه تروجان را در اپ‌های خود جاساز کرده‌اند. سارق، عکس‌ها را در گالری اسمارت‌فون تحلیل می‌کند و برای همان منظور، همه اپ‌های آلوده برای دسترسی درخواست می‌دهند. در بسیاری از موارد، این درخواست به نظر تماماً قانونی است. برای مثال اپ تحویل غذای ComeCome درخواست دسترسی برای چت پشتیبانی مشتری درست به محض باز کردن چت را داشت که چیز کاملاً طبیعی است. سایر برنامه‌ها هنگام راه‌اندازی عملکرد اصلی خود درخواست دسترسی به گالری می‌کنند، که همچنان بی ضرر به نظر می‌رسد. پس از همه، شما می خواهید بتوانید عکس‌ها را در یک پیام رسان به اشتراک بگذارید، درست است؟

با این حال، به محض اینکه کاربر اجازه دسترسی به عکس‌های خاص یا کل گالری را می‌دهد، بدافزار شروع به جستجوی تمام عکس‌هایی که می‌تواند به آن‌ها برسد، می‌گردد و هر چیزی با ارزش را جستجو می‌کند.

سرقتی که نیروش را از هوش مصنوعی گرفته

برای یافتن داده‌های کیف پول رمزنگاری شده در میان عکس‌های گربه‌ها و غروب خورشید، تروجان دارای یک ماژول تشخیص کاراکتر نوری OCR) ) مبتنی بر Google ML Kit است - یک کتابخانه جهانی یادگیری ماشین. بسته به تنظیمات زبان دستگاه، SparkCat مدل هایی را دانلود می‌کند که برای تشخیص اسکریپت مربوطه در عکس ها، اعم از لاتین، کره‌ای، چینی یا ژاپنی آموزش دیده‌اند. پس از تشخیص متن در یک تصویر، تروجان آن را با مجموعه‌ای از قوانین بارگذاری شده از سرور فرمان و کنترل خود بررسی می‌کند. علاوه بر کلمات کلیدی از لیست، فیلتر می‌تواند توسط الگوهای خاصی مانند ترکیب حروف بی‌معنی در کدهای پشتیبان یا توالی کلمات خاص در عبارات اولیه فعال شود. تروجان تمام عکس‌های حاوی متن با ارزش بالقوه را به همراه اطلاعات دقیق در مورد متن شناسایی‌شده و دستگاهی که تصویر از آن دزدیده شده است، در سرورهای مهاجمان آپلود می‌کند.

مقیاس و قربانیان حمله

ما 10 اپ مخرب را در گوگل‌پلی و11 اپ مخرب در اپ استور شناسایی کردیم. در زمان نگار این متن، همه اپ‌های مخرب از فروشگاه‌ها برداشته شدند. تعداد کلی دانلودها از گوگل پلی به تنهایی از 242 هزار در زمان تحلیل تجاوز کرد و داده‌های تله‌متری ما نشان می‌دهد همان بدافزار از سایر سایت‌ها و فروشگاه‌های غیرقانونی اپ نیز موجود بود.

با قضاوت از دیکشنری‌های SparkCat، این تروجان طوری تربیت‌شده که در بسیاری از کشورهای اروپا و آسیا داده‌هایی را از کاربران سرقت کند و شواهد نشان می‌دهد حملات دست کم از مارس 2024 فعال بوده‌اند. نویسندگان این بدافزار احتمالاً به زبان چینی مسلط هستند.

راهکار امنیتی

متأسفانه، توصیه قدیمیِ «اپ‌های امتیاز بالا را فقط از فروشگاه‌های رسمی اپ دانلود کنید» دیگر تنها راه علاج نیست. حتی اپ استور اکنون توسط یک سارق داده واقعی مورد نفوذ قرار گرفته و رخدادهای مشابه مکرراً در گوگل‌پلی رخ می‌دهد. از این رو، باید اینجا معیارها را تقویت کنیم: فقط برنامه‌های با رتبه‌بندی بالا را با هزاران یا بهتر است میلیون‌ها بار دانلود کنید که حداقل چند ماه پیش منتشر شده‌اند. همچنین، پیوندهای برنامه‌ها را در منابع رسمی (مانند وب‌سایت توسعه‌دهندگان) تأیید کنید تا از جعلی نبودن آنها اطمینان حاصل کنید و نظرات را بخوانید - به‌ویژه موارد منفی. و البته مطمئن شوید که یک سیستم امنیتی جامع بر روی تمامی گوشی‌های هوشمند و رایانه های خود نصب کنید. همچنین باید به شدت در مورد دادن مجوزها به اپ‌های جدید محتاط عمل کنید. پیشتر، این نگرانی برای تنظیمات Accessibility وجود داشت اما اکنون می‌بینیم که حتی دادن دسترسی گالری هم می‌تواند به سرقت داده‌های شخصی منجر شود. اگر کاملاً مطمن نیستید که اپ قانونی است یا نه (برای مثال شاید مسنجر رسمی نباشد بلکه یک نسخه مود باشد) دسترسی کامل به عکس‌ها و ویدیوهای خود را ندهید. فقط در صورت ضرورت، دسترسی به برخی عکس‌ها را بدهید. ذخیره داکیومنت‌ها، پسوردها و داده‌های بانکذاری یا عکس‌های عبارات بازیابی در گالری اسمارت‌فون شما به شدت ناامن است- علاوه بر دزدهایی مانند SparkCat، همیشه این خطر وجود دارد که شخصی به عکس‌ها نگاه کند یا به طور تصادفی آنها را در یک پیام‌رسان یا سرویس اشتراک فایل آپلود کنید. چنین اطلاعاتی باید در یک برنامه اختصاصی ذخیره شود. برای مثال، Kaspersky Password Manager به شما امکان می‌دهد نه تنها رمزهای عبور و رمزهای احراز هویت دو مرحله‌ای، بلکه جزئیات کارت بانکی و اسناد اسکن‌شده را در همه دستگاه‌های خود ذخیره و همگام‌سازی کنید - همه به شکل رمزگذاری‌شده. به هر حال، این برنامه با اشتراک‌های کسپرسکی پلاس و کسپرسکی پریمیوم ما ارائه می‌شود. در آخر، اگر از قبل اپ آلوده‌ای را نصب کرده‌اید آن را پاک نموده و تا زمانی که توسعه‌دهنده نسخه فیکس‌شده را بیرون نداده از آن استفاده نکنید. در عین حال به دقت گالری عکس خود را بررسی کنید تا ارزیابی شود مجرمان سایبری ممکن است به چه داده‌هایی رسیده باشند. گرچه نسخه  SparkCat که به طور خاص عبارات بازیابی را شکار می‌کند اما ممکن است تروجان برای سرقت اطلاعات دیگر پیکربندی مجدد شود. در مورد عبارات بازیابی کیف پول رمزنگاری، پس از ایجاد، نمی‌توان آنها را تغییر داد. یک کیف پول رمزنگاری جدید ایجاد کنید و تمام وجوه خود را از کیف پول در معرض خطر انتقال دهید - و سپس نسخه دستکاری‌شده را کاملاً رها کنید.

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.